大型企業(yè)在(zai)無線網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分考(kao)慮訪(fang)客（領(lǐng)導(dǎo)、客戶、合(he)作伙伴）接入(ru)網(wǎng)絡(luò)的需求。首(shou)先從安全(quan)性考慮，訪客(ke)網(wǎng)絡(luò)必須(xu)要和辦公網(wǎng)絡(luò)(luo)分開，訪客(ke)網(wǎng)絡(luò)(luo)單獨(du)提供給訪客(ke)使用。從(cong)用戶體驗角度(du)考慮，訪(fang)客接入網(wǎng)絡(luò)(luo)的驗證(zheng)方式一(yi)定要做到(dao)簡單(dan)易行，繁(fan)瑣的驗證方(fang)式會(hui)降低訪(fang)客對企(qi)業(yè)的整體印象(xiang)。同時對于(yu)訪客網(wǎng)絡(luò)，企(qi)業(yè)還需(xu)要建立完(wan)善的網(wǎng)(wang)絡(luò)安全管理機(jī)(ji)制，避免由(you)于訪客的網(wǎng)(wang)絡(luò)不(bu)良訪問給企(qi)業(yè)帶來的法(fa)律風(fēng)(feng)險。對于企(qi)業(yè)員工(gong)移動辦公(gong)上網(wǎng)，更需(xu)要做到可(ke)管控，上網(wǎng)行為(wei)做到可(ke)追溯，企(qi)業(yè)有效的(de)帶寬資源(yuan)得到合理的分(fen)配和保證，才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高效地(di)運行，同(tong)時保證企業(yè)(ye)信息安全，避免(mian)機(jī)密信(xin)息泄(xie)露。

存在(zai)的問(wen)題（用戶(hu)需求）

1、接入不安全(quan)：缺乏安全可(ke)靠的認(rèn)(ren)證機(jī)(ji)制，企業(yè)無線網(wǎng)(wang)絡(luò)接入(ru)不安(an)全

2、上網(wǎng)(wang)權(quán)限混亂：缺(que)乏有(you)效的控制策略(lve)，員工上(shang)網(wǎng)權(quán)限不分明(ming)

3、數(shù)據(jù)信(xin)息安全：缺乏有(you)效的數(shù)(shu)據(jù)加密機(jī)制(zhi)，企業(yè)數(shù)據(jù)被(bei)黑客竊取(qu)篡改(gai)

4、無線信號差(cha)：AP性能不佳，上(shang)網(wǎng)總掉線，點(dian)位規(guī)劃(hua)不合理(li)，信號盲區(qū)多(duo)

5、漫游(you)效果(guo)差：不能(neng)實現(xiàn)二三(san)層漫游，移動辦(ban)公時(shi)，業(yè)務(wù)中斷

解決(jue)方案：

結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況，結(jié)合產(chǎn)(chan)品自身技術(shù)(shu)特點(dian)，為了滿足用戶(hu)構(gòu)建一個(ge)高速、穩(wěn)定、安全(quan)、可靠、易于管(guan)理的無(wu)線接入網(wǎng)(wang)絡(luò)的需求，本設(shè)(she)計方案(an)按照AP+AC的結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)解決方案(an)進(jìn)行設(shè)計(ji)。具體設(shè)計(ji)為在總部(bu)設(shè)置(zhi)總部AC,在大型分(fen)支機(jī)構(gòu)設(shè)置(zhi)分支(zhi)AC與分支AP，中型分(fen)支機(jī)構(gòu)設(shè)(she)計二級，三級(ji)交換(huan)機(jī)，分(fen)支AP。小微(wei)型分支機(jī)(ji)構(gòu)直(zhi)接設(shè)置分(fen)支AP。總部AC可(ke)以對大(da)型分支(zhi)機(jī)構(gòu)的AC進(jìn)行管(guan)理，當(dāng)網(wǎng)點控(kong)制器采(cai)用集(ji)中管理的(de)模式進(jìn)入到(dao)中心端控(kong)制器時，會自(zi)動下載中心端(duan)的公共配置(zhi)，比如IP組、MAC地址(zhi)庫、時間(jian)計劃、角色(se)授權(quán)、認(rèn)證頁面(mian)等 ?？偛緼C也可以(yi)直接管理中小(xiao)型分支機(jī)(ji)構(gòu)的分支AP，實現(xiàn)(xian)統(tǒng)一管(guan)理。

方案(an)設(shè)計：

安全無(wu)線整(zheng)體解決(jue)方案：

接入前(qian)&接入時進(jìn)行(xing)身份(fen)認(rèn)證、安全無(wu)線網(wǎng)卡、賬(zhang)號綁定（硬件碼(ma)+手機(jī)號），非(fei)法熱點(dian)檢測及防御(yu)、網(wǎng)絡(luò)(luo)攻擊防護(hù)、射頻(pin)定時關(guān)閉及(ji)安全加固。

接入后&上網(wǎng)(wang)時進(jìn)行訪問權(quán)(quan)限控制。

上網(wǎng)后進(jìn)(jin)行上網(wǎng)行(xing)為記錄。

上網(wǎng)用(yong)戶身(shen)份實名認(rèn)證：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證，外置AAA和(he)RADIUS+AD用于存儲用(yong)戶賬號(hao)密碼。

每個(ge)賬號對(dui)應(yīng)一個員工(gong)，包括姓名(ming)、部門、性(xing)別以及(ji)身份證、手機(jī)號(hao)等個人(ren)信息，保(bao)證每個上網(wǎng)(wang)的賬號(hao)都是可尋的(de)，便于安全(quan)管理。

用戶輸入(ru)賬號(hao)密碼上網(wǎng)(wang)驗證時均采用(yong)加密傳輸，防(fang)止黑客空(kong)中攔截，竊(qie)取賬(zhang)號密碼等數(shù)據(jù)(ju)。

上網(wǎng)賬(zhang)號自動綁(bang)定終端：

自動(dong)將賬號(hao)與終端的硬(ying)件特征碼進(jìn)行(xing)綁定，防止賬(zhang)號被他人(ren)使用或者(zhe)被盜用(yong)。

每臺設(shè)備(bei)的硬件特征碼(ma)是唯(wei)一的，無法通過(guo)軟件(jian)修改。即使通過(guo)軟件修改了(le)仍然可(ke)以識別原始(shi)的。

每個賬號最多(duo)可以綁定5臺終(zhong)端，超(chao)過1臺時(shi)需要管理員審(shen)核。

上網(wǎng)賬(zhang)號二次綁(bang)定手機(jī)號碼(ma)：

賬號(hao)首次登陸(lu)時需要(yao)綁定手機(jī)號(hao)并輸入短信驗(yan)證碼(ma)，當(dāng)用戶(hu)賬號(hao)在新終端(duan)登陸時（換(huan)終端/被(bei)他用/被盜(dao)），不僅需(xu)要輸入密(mi)碼，還(hai)需要輸入短信(xin)驗證碼，解(jie)決員工(gong)賬號認(rèn)證(zheng)的安全問(wen)題

綁定手機(jī)號碼(ma)的用戶，可以自(zi)助重置(zhi)密碼和修改密(mi)碼，無需(xu)通過(guo)IT管理員(yuan)。

用戶密碼(ma)管理及自(zi)助修改(gai)：

無需通過管理(li)員即可(ke)修改密碼(ma)，提高(gao)效率(lv)及減輕管理員(yuan)工作壓力(li)。

通過(guo)口袋助理、釘釘(ding)、企業(yè)號等手機(jī)(ji)MOA類APP軟(ruan)件進(jìn)行(xing)無線密碼(ma)修改。

若賬(zhang)號綁定了手機(jī)(ji)號碼(ma)，可通(tong)過手機(jī)驗證碼(ma)自助修改(gai)。

上網(wǎng)(wang)終端合(he)法效驗：

采用安全無(wu)線網(wǎng)(wang)卡接入無線網(wǎng)(wang)絡(luò)，終端與AP熱(re)點的雙(shuang)向驗證，提(ti)高安(an)全性。

可以(yi)將無線網(wǎng)(wang)絡(luò)設(shè)置為(wei)只有安裝了(le)安全無線網(wǎng)(wang)卡的終端(duan)才能(neng)接入(ru)無線網(wǎng)絡(luò)。

支持設(shè)(she)置安全無線網(wǎng)(wang)卡只能連指定(ding)SSID無線(xian)網(wǎng)絡(luò)，無法連接(jie)非授(shou)權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自動進(jìn)行(xing)數(shù)據(jù)加密(mi)，保證無線的(de)空口安全。

無線熱點掃(sao)描及非法熱(re)點抑制：

背景：黑客(ke)在附(fu)近搭建一個一(yi)模一樣或(huo)者類(lei)似的WIFI名稱，誘使(shi)用戶連到(dao)虛假釣魚(yu)WIFI上，黑客利用分(fen)析軟件從用(yong)戶上網(wǎng)產(chǎn)生(sheng)的數(shù)(shu)據(jù)包中(zhong)分析提取用戶(hu)隱私(si)信息。

我們通過(guo)WIPS無線入侵防御(yu)系統(tǒng)實時檢測(ce)周圍無(wu)線信號(hao)，當(dāng)檢測(ce)出來的(de)信號BSSID、且(qie)AP源MAC地址(zhi)不在授權(quán)列(lie)表中(zhong)時，我們向(xiang)對應(yīng)的(de)AP和終端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)，讓終端無(wu)法連上(shang)釣魚WIFI。7×24小時(shi)不間斷監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控制(zhi)：

強(qiáng)大的(de)管理：通過應(yīng)用(yong)識別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型或者(zhe)具體某(mou)一種應(yīng)(ying)用進(jìn)(jin)行封堵，包括視(shi)頻、論壇(tan)、游戲、金融(rong)、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用。

通過應(yīng)(ying)用識別技術(shù)，可(ke)以根(gen)據(jù)應(yīng)用(yong)類型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)行封堵(du)，比如(ru)上班時(shi)間不允許炒(chao)股，不允許P2P下載(zai)，不允許(xu)外發(fā)敏感文(wen)件等； 支持(chi)主流(liu)移動平臺，可(ke)識別(bie)IM、社交、Mail、新聞(wen)、炒股等應(yīng)用(yong)。

無線(xian)控制器(qi)內(nèi)置千萬級別(bie)的URL分類庫(ku)，能夠?qū)RL進(jìn)行(xing)識別(bie)，包含新聞(wen)、購物、金融、教育(yu)等18個種(zhong)類的URL地(di)址； 準(zhǔn)(zhun)確識別目前主(zhu)流網(wǎng)(wang)站，識別率高(gao)達(dá)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止(zhi)登陸非法(fa)網(wǎng)站

通過基于(yu)時間段的訪(fang)問控制(zhi)策略，實現(xiàn)不(bu)同的時間段(duan)不同的訪問權(quán)(quan)限，比(bi)如上(shang)班時間，禁(jin)止訪(fang)問網(wǎng)上(shang)銀行(xing)、游戲(xi)、論壇(tan)貼吧等與工(gong)作無(wu)關(guān)的應(yīng)(ying)用，下班時間(jian)則不(bu)受限制。

辦公區(qū)域內(nèi)(nei)，不同辦公部(bu)門總會有各(ge)自專屬的無線(xian)網(wǎng)絡(luò)(luo)，并且不希望(wang)部門之(zhi)外的成員使用(yong)這個網(wǎng)(wang)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器(qi)可以根據(jù)用戶(hu)的屬性(xing)，限制禁止非(fei)本部門的用戶(hu)接入。

典型無線網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu)：

對典型的危險(xian)攻擊(ji)行為進(jìn)行檢(jian)測，當(dāng)超過設(shè)(she)定的閾值(zhi)后自動將攻(gong)擊者加入到黑(hei)名單中(zhong)，并凍結(jié)一定時(shi)間，即時發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行防御(yu)。

檢測的攻擊包(bao)括：DDOS防御(yu)、ARP掃描、IP掃描、端(duan)口掃描防御(yu)，禁止客戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙(pian)防御(yu)、DHCP請求泛洪防(fang)御。

無線射頻定時(shi)關(guān)閉開啟：

通過射(she)頻關(guān)閉(bi)控制策略(lve)，可以指(zhi)定某(mou)SSID網(wǎng)絡(luò)，定時自動(dong)關(guān)閉和開(kai)啟無線網(wǎng)(wang)絡(luò)的(de)射頻信號(hao)，晚上下班后(hou)自動關(guān)閉無(wu)線射頻信號。

一方面(mian)可以(yi)節(jié)能減排、節(jié)(jie)省電費支出(chu)；另一方面又能(neng)防止非法用(yong)戶利用(yong)深夜時(shi)間入侵無線(xian)網(wǎng)絡(luò)，做一些(xie)非法的(de)操作。

有線無線(xian)一體化(hua)管理：

NAC的有線(xian)無線一體化，支(zhi)持對有線用(yong)戶的接入認(rèn)證(zheng)、訪問控制(zhi)、流量管理(li)、上網(wǎng)行(xing)為審計等，

并提供統(tǒng)(tong)一中(zhong)文Web管理界面(mian)，一站(zhan)式服務(wù)，極大的(de)降低網(wǎng)(wang)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)分權(quán)分級(ji)管理(li)：

分配(pei)不同的(de)管理員分別管(guan)理各(ge)自權(quán)限(xian)區(qū)域的(de)無線AP，可以精細(xì)(xi)到對某AP分組(zu)有管(guan)理權(quán)限(xian)，該管理(li)員可以在該AP分(fen)組上建(jian)立無(wu)線網(wǎng)絡(luò)，能(neng)夠激活、刪(shan)除接入點，能夠(gou)對AP的配(pei)置進(jìn)行(xing)編輯修(xiu)改。

可指定管理員(yuan)針對每個(ge)頁面的編輯或(huo)可查看(kan)權(quán)限，控制(zhi)粒度到控制器(qi)上的各(ge)個頁面(mian)，對某(mou)個頁面沒有讀(du)權(quán)限則登錄時(shi)不顯示。

移動APP隨時隨(sui)地運維管理：

支持跨互(hu)聯(lián)網(wǎng)運(yun)維管理(li)

登陸APP進(jìn)行維(wei)護(hù)管(guan)理：不同管理員(yuan)，不同權(quán)限(xian)

查看(kan)網(wǎng)絡(luò)運行(xing)情況：在線(xian)用戶、在(zai)線AP數(shù)量(liang)、實時流(liu)量

無線(xian)網(wǎng)絡(luò)(luo)管理(li)維護(hù)(hu)：開啟關(guān)(guan)閉SSID、終端綁定(ding)審批、二維(wei)碼上網(wǎng)審核

故障、審(shen)批實(shi)時通知：AP離線警(jing)告、服務(wù)器離線(xian)警告、網(wǎng)絡(luò)攻擊(ji)告警

方案(an)優(yōu)勢：

1、最豐富(fu)的無(wu)線安全(quan)機(jī)制，提供(gong)從安全接(jie)入到安(an)全上網(wǎng)等(deng)端到端的(de)安全策(ce)略

2、合理管(guan)控工作(zuo)人員上(shang)網(wǎng)行為，提(ti)升工作效(xiao)率、防止(zhi)帶寬(kuan)浪費，有線(xian)無線雙重(zhong)管控

3、為會議室，報(bao)告廳等人(ren)員密集(ji)區(qū)域(yu)接入(ru)網(wǎng)絡(luò)提高保證(zheng)，解決(jue)有線網(wǎng)(wang)口不足的(de)問題(ti)；

4、為企業(yè)員工的(de)移動辦公提(ti)供支撐(cheng)，內(nèi)部員工可通(tong)過無線網(wǎng)絡(luò)(luo)隨時安全接入(ru)內(nèi)部網(wǎng)(wang)絡(luò)，實現(xiàn)(xian)辦公(gong)；

5、內(nèi)部員工賬(zhang)號及(ji)個人(ren)信息綁定，便(bian)于安全管(guan)理；

6、內(nèi)部員(yuan)工可通過自(zi)己的辦公設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速移動辦(ban)公，網(wǎng)絡(luò)接入更(geng)快速(su)，上網(wǎng)行(xing)為管(guan)理系(xi)統(tǒng)對員工上網(wǎng)(wang)行為進(jìn)行審計(ji)與管控

7、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)(ju)不同需求(qiu)，分配不同的上(shang)網(wǎng)權(quán)(quan)限，保證(zheng)了接入(ru)的安全性同時(shi)提升群眾上(shang)網(wǎng)的體驗

8、豐富的(de)認(rèn)證機(jī)制，滿足(zu)組織(zhi)對無線網(wǎng)(wang)絡(luò)安全、快(kuai)速接(jie)入

9、投資(zi)成本低，通(tong)過部署無線控(kong)制器替換原(yuan)有網(wǎng)絡(luò)的出口(kou)路由、行為管(guan)理以(yi)及無線控制器(qi)